TUGAS RESUME BAB 5, 6 DAN 7

SISTEM INFORMASI AKUNTANSI

Disusun oleh:
Nama : Leni Anata Sari
NIM : 22080694183

Dosen Pengampu:
Intan Kurnia Permatasari, S.E., Ak., M.A

FAKULTAS EKONOMIKA DAN BISNIS

UNIVERSITAS NEGERI SURABAYA
2024
Bab 5

Penipuan Komputer
1. Menjelaskan ancaman yang dihadapi oleh sistem informasi modern
Saat sistem informasi akuntansi (SIA) tumbuh semakin kompleks dalam
memenuhi peningkatan kebutuhan informasi, perusahaan menghadapi risiko
pertumbuhan bahwa sistem mereka mungkin dikompromikan. Suvei terbaru
menunjukkan bahwa 67% perusahaan memiliki cabang keamanan, lebih dari 45%
ditargetkan berdasarkan kejahatan yang terorganisasi, dan 60% dilaporkan merugi
secara finansial.
Empat jenis ancaman Sistem Informasi Akuntansi (SIA) yang dihadapi
perusahaan yaitu:
Ancaman Contoh
Kebakaran atau panas berlebihan,
Banjir, gempa bumi, longsor, topan,
Bencana alam dan politik tornado, badai salju, dan hujan yang
membekukan
Perang dan serangan teroris.
Kegagalan perangkat keras dan
perangkat lunak
Kesalahan perangkat lunak atau bugs
Kesalahan perangkat lunak dan
Benturan sistem operasi
kegagalan fungsi peralatan
Pemadaman listrik dan fluktuasi
Kesalahan transimisi data yang tidak
terdeteksi
Kecelakaan yang disebabkan oleh
kelalaian manusia, kegagalan untuk
mengikuti prosedur yang diterapkan, dan
personel yang dilatih atau diawasi
Tindakan yang tidak diharapkan dengan buruk.
Kesalahan atau kelalaian yang tidak
diinginkan
Kehilangan, kesalahan, kerusakan, atau
salah menempatkan data
 Kesalahan logika
Sistem yang tidak memenuhi kebutuhan
perusahaan atau tidak bias menangani
tugas yang ditujukan

Sabotase
Misrepresentasi, penggunaan yang salah,
atau pengungkapan data yang tidak
diotorisasi
Tindakan yang disengaja (kejahatan
Penyalahgunaan aset
komputer)
Penipuan laporan keuangan
Korupsi
Penipuan komputer-seragam, rekayasa
sosial, malware, dll.

2. Mendefinisikan penipuan, menjelaskan jenis-jenis penipuan dan proses yang

dilalui dalam melakukan penipuan
Penipuan (fraud) adalah mendapatkan keuntungan yang tidak jujur dari orang
lain. Secara legal, untuk tindakan dikatakan curang maka harus ada:
a. Pernyataan, representasi, atau pengungkapan yang salah;
b. Fakta material, yaitu sesuatu yang mestimulasi seseorang untuk bertindak;
c. Niat untuk menipu;
d. Kepercayaan yang dapat dijustifikasi (dibenarkan); di mana seseorang
bergantung pada misrepresentasi untuk mengambil tindakan;
e. Pencederaan atau kerugian yang diderita oleh korban.
Dua jenis penipuan yang penting untuk bisnis adalah penyalahgunaan aset
(terkadang disebut penipuan karyawan) dan kecurangan pelaporan keuangan
(terkadang disebut penipuan manajemen).
a. Penyalahgunaan Aset
Penyalahgunaan aset (misappropriation of asset) adalah pencurian aset
perusahaan oleh karyawan. Contohnya: Albert Milano, manajer Rader’s
Digest yang bertanggung jawab untuk pemrosesan tagihan, menggelapkan
$1 juta selama periode lima tahun. Ia memalsukan tanda tangan atasannya
pada faktur untuk pelayanan yang tidak pernah dilakukan, mengajukannya
 ke utang, memalsukan pengesahan pada cek, dan mendepositkannya dalam
rekening miliknya sendiri. Milano menggunakan dana yang dicuri untuk
membeli rumah mahal, lima mobil, dan sebuah kapal.
Faktor yang memicu terjadinya penyalahgunaan adalah tidak adanya
pengendalian internal dan/ atau kegagalan menjalankan pengendalian
internal yang sudah ada. Penyalahgunaan umumnya memiliki elemen dan
karakteristik yang penting. Para pelaku:
• Memperoleh kepercayaan atau keyakinan dari entitas yang ditipu;
• Menggunakan informasi yang penuh dengan tipu muslihat, licik,
atau menyesatkan untuk melakukan penipuan;
• Menyembunyikan penipuan dengan memalsukan catatan atau
informasi lainnya;
• Jarang menghentikan penipuan secara sukarela;
• Melihat begitu mudah mendapatkan uang banyak, kebutuhan atau
ketamakan akan mendorong orang untuk melanjutkannya;
• Menghabiskan uang yang didapatkan secara tidak benar;
• Menjadi tamak dan mengambil sejumlah uang yang lebih besar pada
jangka waktu yang lebih sering akan membuat risiko terungkapnya
penipuan meningkat;
• Tumbuhnya kecerobohan dan terlalu percaya diri selama berlalunya
waktu.
b. Kecurangan Pelaporan Keuangan
National Comission on Fraudulent Financial Reporting (Treadway
Commission) mendefinisikan kecurangan pelaporan keuangan
(fraudulent financial reporting) sebagai perilaku yang disengaja atau
ceroboh, apakah dengan tindakan atau kelalaian, yang menghasilkan
laporan keuangan menyesatkan secara material.
SAS No. 99: Tanggung Jawab Auditor Untuk Mendeteksi Penipuan
Statement on Auditing Standards (SAS) No. 99, Consideration of Fraud in a
Financial Statement Audit, yang efektif pada Desember 2002. SAS No. 99
mensyaratkan auditor untuk:
 • Memahami penipuan, auditor tidak dapat secara efektif mengaudit
sesuatu yang tidak mereka pahami, mereka harus memahami bagaimana
dan mengapa hal itu terjadi.
• Mendiskusikan risiko salah saji kecurangan yang material, saat
merencanakan audit, anggota tim mendiskusikan bagaimana dan di
mana laporan keuangan rentan terhadap penipuan.
• Memperoleh informasi, tim audit mengumpulkan bukti dengan
mencari faktor risiko penipuan; menguji catatan perusahaan; dan
menanyakan manajemen, komite audit dari dewan direksi, dan lainnya
apakah mereka mengetahui penipuan yang terjadi saat ini atau masa lalu.
Dikarenakan banyak penipuan melibatkan pengakuan pendapatan,
perhatian khusus dalam menguji akun pendapatan.
• Mengidentifikasi, menilai, dan merespons risiko. Bukti yang
digunakan untuk mengidentifikasi, menilai, dan merespons risiko
penipuan dengan memvariasikan, sifat, waktu, dan luas prosedur audit
dengan cara mengevaluasi secara berhati-hati terhadap risiko
manajemen yang mengesampingkan pengendalian internal.
• Mengevaluasi hasil pengujian audit mereka, auditor harus
mengevaluasi apakah salah saji yang diindentifikasi mengindikasikan
keberadaan penipuan dan menentukan dampaknya pada laporan
keuangan dan audit.
• Mendokumentasikan dan mengomunikasikan temuan, auditor harus
mendokumentasikan dan mengkomunikasikan temuan mereka ke
manajemen dan komite audit
• Menggabungkan fokus teknologi, SAS No.99 mengakui dampak
teknologi memiliki risiko penipuan dan memberikan komentar dan
contoh untuk mengakui dampak ini. Hal ini juga dicatat bahwa
kesempatan yang dimiliki oleh auditor untuk menggunakan teknologi
untuk mendesain prosedur audit penipuan.
3. Mendiskusikan siapa yang melakukan penipuan dan mengapa itu terjadi,
termasuk tekanan, kesempatan, dan rasionalisasi yang terjadi dalam sebagian
besar penipuan
Siapa yang Melakukan Penipuan dan Mengapa
 Ketika peneliti membandingkan karakteristik psikologis dan demografis pada
kriminal kerah putih, kriminal dengan kekerasan, dan publik, mereka menemukan
perbedaan signifikan antara kriminal kekerasan dan kerah putih. Mereka menemukan
sedikit perbedaan antara kriminal kerah putih dan publik. Keputusan mereka: banyak
pelaku penipuan yang tampak seperti Anda dan saya.
Beberapa pelaku penipuan tidak puas dan tidak bahagia dengan pekerjaan
mereka dan mencari pembalasan kepada pemberi kerja mereka. Sementara yang
lain merupakan karyawan yang berdedikasi, pekerja keras dan terpercaya. Sebagian
besar tidak memiliki catatan kriminal sebelumnya; mereka jujur, memiliki nilai, dan
bagian dari anggota yang dihargai oleh komunitas mereka. Dengan kata lain, mereka
adalah orang baik yang melakukan hal buruk.
Pelaku penipuan komputer umumnya lebih muda dan memiliki
pengalaman dan kemampuan komputer. Hal itu terjadi karena adanya rasa
penasaaan, pencarian pengetahuan, dan keinginan untuk belajar bagaimana beberapa
hal dapat bekerja, dan tantangan mengalahkan sistem. Alasan lainnya untuk
memperoleh pengakuan di komunitas hacker.
Sejumlah pelaku penipuan yang besar dan tumbuh disebut sebagai predator
dan membuat tindakan mereka menjadi uang. Pelaku penipuan seperti ini disebut
kriminal kerah biru yang memperdaya orang lain dengan merampok mereka.
Perbedaannya, mereka menggunakan komputer bukan senjata.
Segitiga Penipuan
Untuk sebagian besar pelaku penipuan, semua kebutuhan pelaku adalah kesempatan
dan cara pandang kriminal yang memungkinkan mereka melakukan penipuan. Untuk
sebagian besar pelaku penipuan, ada tiga kondisi ketika penipuan terjadi: tekanan,
kesempatan, dan rasionalisasi.
a. Tekanan
Tekanan (pressure) adalah dorongan atau motivasi seseorang untuk melakukan
penipuan. Tiga jenis tekanan yang menyebabkan penyalahgunaan:
 1. Tekanan keuangan, memotivasi penipuan penyalahgunaan oleh karyawan.
Contoh tekanan seperti hidup di luar kemampuannya, kerugian keuangan yang
besar atau utang personel yang tinggi.
2. Emosional, penipuan terjadi karena ketamakan. Beberapa penipuan
melakukannya karena adanya rasa penasaran yang kuat atas pemecatan atau
percaya bahwa mereka telah diperlakukan tidak adil.
3. Gaya hidup, kebiasaan judi, ketergantungan obat atau alkohol, hubungan
seksual atau tekanan keluarga/rekan.
b. Kesempatan
Kesempatan (oppuryunity) adalah kondisi atau situasi, termasuk kemapuan
pribadi seseorang, yang memungkinkan pelaku untuk melakukan penipuan,
menyembunyikan penipuan, dan mengonversikan pencurian atau
misrepresentasi untuk keuntungan personal.

Tekanan yang Dapat Menyebabkan Kesempatan yang Memungkinkan Penipuan

Penipuan Laporan Keuangan
Karakteristik Manajemen
- Etika manajemen yang dipertanyakan,
gaya manajemen dan rekam jejaknya
- Prediksi laba yang lebih agresif,
standar kinerja, metode akuntansi, atau
program insentif
- Kompensasi insenstif yang signifikan
berdasarkan pada pencapaian tujuan
yang lebih agresif
Karyawan dan Laporan Keuangan
Faktor Pengendalian Internal
- Kegagalan untuk menegakkan/memonitor
pengendalian internal
- Kegagalan manajemen untuk terlibat dalam
sistem pengendalian internal
- Manajemen mengesampingkan pengendalian
internal
- Kecerobohan manajemen tidak
memerhatikan detail
 - dll - dll
Kondisi Industri Faktor-faktor Lain
- Industri menurun - Transaksi yang besar, tidak bias, dan
- Perubahan industri atau teknologi kompleks
untuk penurunan permintaan atau - Beberapa jurnal penyesuaian pada akhir
keusangan produk tahun
- Persyaratan peratuan yang baru untuk - Transaksi pihak terkait
memperbaiki stabilitas keuangan atau - Departemen akuntansi yang beban kerjanya
profitabilitas berlebihan
- dll - Personel yang tidak kompeten
Keuangan - Tingkat keluar masuk karyawan pentinh
- Tekanan yang intens untuk memenuhi yang cepat
ekspektasi laba yang berlebihan - Lamanya masa jabatan pekerjaan penting
- Permasalahan arus kas yang - Struktur organisasi yang terlalu kompleks
signifikan; kesulitan yang tidak bias - Tidak ada kode etik, pernyataan konflik
dalam mengumpulkan piutang, kepentingan, atau definisi perilaku yang tidak
membayar utang dapat diterima
- Kerugian besar, risiko yang tinggi atau - Perubahan yang sering pada auditor, penegak
tidak terdiversifikasi, ketergantungan hokum
yang tinggi pada utang, atau perjanjian - Operasi pada basis krisis
utang yang sangat membatasi - Hubungan yang dekat dengan
- dll pemasok/pelanggan

c. Rasionalisasi
Rasionalisasi (rationalization) memungkinkan pelaku untuk menjustifikasi
tindakan illegal mereka. Rasionalisasi adalah alasan yang digunakan para pelaku
penipuan untuk membenarkan perilaku illegal mereka. Seperti pada Segitiga
Rasionalisasi yaitu:
1. Justifikasi, “Saya hanya mengambil apa yang mereka utang padaku”.
2. Sikap, “Aturan tidak berlaku untuk saya”.
3. Kurangnya Integritas Personal, “Mendapatkan apa yang saya inginkan lebih
penting dibandingkan menjadi pribadi yang jujur”.
Beberapa rasionalisasi yang paling sering mencakup hal-hal sebagai berikut:
 1. Saya hanya “meminjam” itu, dan saya akan membayar kembali “pinjaman
saya”.
2. Anda memahami jika Anda tahu seberapa besar saya menginginkannya.
3. Apa yang saya lakukan tidak serius.
4. Dll.
Penipuan terjadi ketika orang memiliki tekanan yang tinggi; kesempatan untuk
melakukan, menyembunyikan dan mengonversikan; dan kemampuan untuk
merasionalisasi integritas personal mereka.
Penipuan dapat dicegah dengan mengeliminasi atau meminimalkan satu atau
lebih elemen segitiga penipuan. Namun perusahaan juga harus mengurangi dan
meminimalkan kesempatan dengan mengimpementasikan pengendalian internal
yang baik.
4. Mendefinisikan penipuan komputer dan mendiskusikan klasifikasi penipuan
komputer yang berbeda
Penipuan komputer
Penipuan komputer (computer fraud) adalah setiap setiap penipuan yang
mensyaratkan teknologi komputer untuk melakukan penipuan. Contohnya meliputi:
a. Pencurian, penggunaan, akses, modifikasi, penyalinan, atau penghancuran yang
tidak sah pada perangkat lunak, perangkat keras, atau data.
b. Pencurian aset yang ditutupi dengan mengganti catatan komputer
c. Memperoleh informasi atau properti tak berwujud secara ilegal dengan
menggunakan komputer.
Meningkatnya Penipuan Komputer
Beberapa alasan meningkatnya penipuan komputer yaitu:
a. Tidak semua orang sependapat dengan apa yang termasuk penipuan komputer
b. Banyak contoh penipuan komputer yang tidak terdeteksi
c. Persentase penipuan yang tinggi tidak dilaporkan
d. Banyak jaringan yanh tidak aman
e. Situs internet menawarkan instruksi langkah demi langkah pada bagaimana
melakukan penipuan komputer dan penyalahgunaan
f. Penegak hokum tidak dapat menjaga pertumbuhan penipuan komputer
g. Menghitung kerugian sangat sulit
Klasifikasi Penipuan Komputer
Input Penipuan
 Cara sederhana dan paling umum untuk melakukan penipuan komputer adalah
mengganti input komputer. Contohnya: Seorang pria membuka rekening bank di New
York dan memiliki cetakan slip setoran bank kosong yang sama dengan yang tersedia
di lobi bank, kecuali nomor rekeningnys yang berbeda. Ia mengganti slip setoran di lobi
bank dengan yang ia palsukan. Selama tiga hari, simpanan di bank menggunakan slip
yang dipaslukan masuk ke rekeningnya, pelaku mengambil uang dan menghilang. Ia
tidak pernah ditemukan.
Penipuan Prosesor
Penipuan prosesor merupakan penggunaan sistem yang tidak sah, termasuk pencurian
waktu dan layanan komputer. Contohnya: Perusahaan asuransi menginstal perangkat
lunak untuk mendeteksi aktivitas sistem yang abnormal dan menemukan bahwa
karyawan menggunakan komputer perusahaan untuk menjalankan situs judi ilegal.
Penipuan Intruksi Komputer
Penipuan intruksi komputer termasuk merusak perangkat lunak perusahaan,
menyalin perangkat lunak secara ilegal, menggunakan perangkat lunak dengan cata
yang tidak sah, dan mengembangkan perangkat lunak untuk aktivitas yang tidak sah.
Hal ini jarang dilakukan karena memerluka pengetahuan yang khusus.
Penipuan Data
Secara ilegal dengan menggunakan, menyalin, mencari, atau membahayakan data
perusahaan merupakan penipuan data. Penyebab hal ini terjadi adalah keteledoran
karyawan. Contohnya: Manajer kantor biro hokum Wall Street menjual informasi ke
teman dan kerabat mengenai merger dan akuisisi prospektif yang ditemukan dalam file
Word. Mereka menghasilkan jutaan dolar dalam perdagangan sekuritas.
Output Penipuan
Tampilan atau cetakan output dapat ducuri, disalin, atau disalahgunakan. Pelaku
penipuan menggunakan komputer untuk memalsukan output yang terlihat otentik,
seperti cek pembayaran.
5. Menjelaskan bagaimana mencegah dan mendeteksi penipuan dan
penyalahgunaan komputer
Untuk mencegah penipuan, organisasi harus membuat iklim yang membuat penipuan
tidak terhadi, meningkatkan perbedaan dalam melakukannya, meningkatkan metode
pendeteksian, dan mengurangi jumlah kerugian jika penipuan terjadi.
Cara-cara untuk Mencegah dan Medeteksi Penipuan
Membuat Penipuan Agar Tidak Terjadi
 a. Menciptakan budaya organisasi yang menekankan integritas dan komitmen untuk
nilai etis dan kompetensi.
b. Mengadopsi struktur organisasi, filosofi manajemen, gaya operasional, dan risiko
yang meminimalkan kemungkinan penipuan.
c. Membutuhkan pengawasan komite audit yang aktif, terlibat, dan independent dari
dewan direksi
d. dll
Meningkatkan Kesulitan Dalam Melakukan Penipuan
a. Mengembangkan dan mengimplementasikan sistem pengendalian internal yang
kuat.
b. Memisahkan fungsi akuntansi atas otorisasi, pencatatan, dan penyimpanan.
c. Mengimplementasikan pemisahan tugas yang jelas antarfungsi sistem.
d. dll
Meningkatkan Metode Pendeteksian
a. Mengembangkan dan mengimplementasikan program penilaian risiko penipuan
yang mengevaluasi kemungkinan dan besarnya aktivitas penipuan, dan menilai
proses dan pengendalian yang dapat mencegah dan mendeteksi penipuan potensial.
b. Membuat jejak audit agar transaksi individual dapat ditelusuri melalui sistem
laporan keuangan dan data laporan keuangan dapat ditelusur kembali ke transaksi
individual.
c. Melakukan audit internal dan eksternal secara periodic, dan juga audit keamanan
jaringan khusus, ini sangat dapat membantu jika dilakukan dengan waktu yang
mendadak.
d. dll
Mengurangi Kerugian Penipuan
a. Menjaga asuransi yang memadai.
b. Mengembangkan kontingensi penipuan yang komprehensif, pemulihan bencana,
dan rencana kelangsungan bisnis.
c. Menyimpan Salinan backup program dan file data dalam lokasi luar yang aman.
d. dll
STUDI KASUS
Berdasarkan berita yang diuanggah laman bb.com pada tanggal 16 Mei 2023 dengan
judul BSI Diduga Kena Serangan Siber, Pengamat Sebut Sistem Pertahanan Bank ‘Tidak
Kuat’, Bank Syariah Indonesia (BSI) mengalami gangguan layanan yang diakibatkan oleh
serangan siber ransomware. Dalam unggahan tersebut dijelaskan bahwa layanan bank Syariah
terbesar di Indonesia mengalami kelumpuhan selama kurang lebih lima hari yang membuat
kesal para nasabahnya. BSI mengatakan seluruh layanan perbankan sudah berangsur normal
dan pulih sejak Kamis, 11 Mei 2023. Pernyataan itu diperkuat oleh Direktur Utama BSI, Henry
Gunardi, pada Sabtu, 13 Mei 2023 yang mengatakan “telah dapat dipulihkan segera”. Ia
menambahkan, “prioritas utama kami menjaga data dan dana nasabah”. Meski demikian,
menurut Kepala Lembaga Riset Keamanan Siber CISSReC, Dr. Pratama Persadha, sistem
pertahanan siber bank-bank di Indonesia tidak kuat. Buktinya, sudah beberapa kali bank
Indonesia kena retas.
 Menurut Pratama, indikasi gangguan di BSI adalah akibat serangan peretas (hacker)
karena sistem mati total selama beberapa hari. Berdasarkan hasil resmi investigasi forensic
digital yang dilakukan BSI bekerja sama dengan otoritas terkait, termasuk Badan Siber dan
Sandi Negara (BSSN), grup peretas asal Rusia, Lockbit, mengklaim bertanggung jawab atas
serangan siber yang melumpuhkan semua layanan BSI. Dalam pengumuman yang diunggah
ke dark web mereka mengklaim telah mencuri data sebanyak 1,5 terabyte, termasuk 15 juta
data pribadi nasabah dan pegawai meliputi nama, nomor telepon, alamat, informasi dokumen,
isi rekening, nomor kartu, transaksi, dan masih banyak lagi. Lockbit meminta tebusan dan
memberikan jangka waktu hingga tanggal 15 Mei pukul 21:09 UTC (16 Mei, 04:09 WIB) agar
pihak BSI untuk mengontak mereka. Namun Pratama, tidak yakin apabila Lockbit yang
melakukannya karena mereka belum memberuja sampel. Ia menyarankan BSI untuk tidak
membayar tebusan.
Komisaris Independen BSI, Komaruddin Hidayat mengakui BSI mendapat serangan
siber, namu ia menyebut bahwa klaim Lockbit adalah hoaks. Dan ia juga mengatakan bahwa
BSI mempertimbangkan untuk memberikan kompensasi kepada para nasabah yang dirugikan
akibat gangguan layanan. Dirut BSI, Henry Gunardi, menuturkan pihaknya terus memperkuat
keamanan teknologi perseroan dalam divisi khusus yang berada di bawah CISO (Chief
Information and Security Officer).

Bab 6

Teknik Penipuan dan Penyalahgunaan Komputer

1. Membandingkan dan membedakan serangan komputer dan taktik-taktik
penyalahgunaan
Serangan dan Penyalahgunaan Komputer
Hacking adalah akses, modifikasi, atau penggunaan alat elektronik atau
beberapa elemen dari sebuah sistem komputer yang tidak sah. Berikut adalah contoh
ilustrasi serangan-serangan hacking dan dampak yang ditimbulkannya:
a. Seorang hacker Rusia menerobos ke dalam sistem Citibank dan mencuri $10 juta
dari rekening nasabah.
b. Axciom mengelola informasi nasabah untuk penerbitan kartu kredit, bank,
perusahaan otomotif, dan para pengecer (retailer). Seorang administrator sistem
untuk sebuah perusahaan yang berbisnis dengan Axciom melebihi batas akses yang
diijinkan, ia mengunduh file yang memiliki kata sandi yang sudah dienkripsi, dan
menggunakan program pemecah sandi untuk mengakses ID rahasia. Penerobosan
ini merugikan Axciom lebih dari $5,8 juta.
c. Seorang hacker berusia 17 tahun menerobos ke dalam jaringan Bell Laboratories,
menghancurkan sejumlah file, menyalin 52 program perangkat lunak hak milik, dan
memublikasikan informasi rahasia di bulletin board (forum percakapan online)
terselubung. Banyak hacker yang berusia muda, beberapa diantaranya berusia 12
tahunan.
 Hijacking (pembajakan) adalah pengambilan kendali atas sebuah komputer
untuk melakukan aktivitas terlarang tanpa sepengetahuan pengguna komputer yang
sebenarnya. Botnet, sebuah singkatan dari robot network adalah jaringan yang kuat dan
berbahaya yang membajak komputer. Zombie adalah sebuah komputer yang dibajak,
biasanya merupakan bagian dari botnet yang dipergunakan untuk melakukan berbagai
serangan internet. Zombie digunakan untuk menyerang sistem atau menyebarkan
malware. Bot herder adalah seseorang yang menciptakan botnet dengan memasangkan
perangkat lunak pada PC yang merespons instruksi elektronik milik bot herder.
Spamming adalah secara bersamaan mengirimkan pesan yang tak diminta ke
banyak orang pada saat yang sama, biasanya berupaya untuk menjual sesuatu.
Spoofing adalah membuat komunikasi elektronik terlihat seolah orang lain yang
mengirimkannya untuk memperoleh kepercayaan dari penerima.
Serangan zero-day (zero-day attack) atau serangan zero-hour adalah sebuah
serangan di antara waktu kerentanan perangkat lunak baru ditemukan dan waktu sebuah
pengembang perangkat lunak merilis patch untuk memperbaiki masalah tersebut.
Patch merupakan kode yang dirilis pengembang perangkat lunak yang memperbaiki
kerentanan perangkat lunak tertentu.
Cross-site scripting (XSS) adalah sebuah kerentanan dalam halaman situs
dinamis yang memungkinkan penyerang untuk menerobos mekanisme keamanan
sebuah browser dan memerintahkan browser korban untuk mengeksekusi kode,
mengira bahwa perintah tersebut berasal dari situs yang dikehendaki.
Serangan limpahan buffer (buffer overflow attack) adalah ketika jumlah data
yang dimasukkan ke dalam sebuah program lebih banyak daripada jumlah dari input
buffer. Limpahan input menimpa instruksi komputer berikutnya, menyebabkan sistem
rusak. Para hacker memanfaatkannya dengan merangkai input sehingga limpahan
memuat kode yang menyatakan ke komputer apa yang dilakukan selanjutnya. Kode ini
dapat membuka sebuah pintu belakang di dalam sistem.
Serangan Injeksi (insersi) SQL (SQL, injection (insertion) attack),
menyisipkan quary SQL berbahaya pada input sehingga query tersebut lolos dan
dijalankan oleh sebuah program aplikasi. Hal ini memungkinkan seorang hacker
meyakinkan agar aplikasi menjalankan kode SQL yang tidak dikehendaki untuk
dijalankan.
Serangan man-in-the-middle (MITM attack) adalah seorang hacker yang
menempatkan dirinya diantara seorang klien dan host untuk memotong komunikasi
diantara mereka. Serangan MITM sering disebut dengan serangan pembajakan sesi
(hijacking session). Serangan MITM digunakan untuk menyerang sistem enkripsi kunci
public (publick key) dimana informasi sensitive dan berharga diteruskan secara bolak-
balik.
Masquerading atau impersonation adalah berpura-pura menjadi pengguna
yang sah untuk mengakses sebuah sistem. Pelaku mengetahui nomor ID dan kata sandi
pengguna atau menggunakan komputernya setelah pengguna sah telah log-in.
Piggybacking memiliki beberapa makna:
a. Penggunaan secara diam-diam jaringan WIFI tetangga, dapat dicegah dengan
menyediakan fitur keamanan dalam jaringan nirkabel.
b. Seseorang yang tidak berwenang mengikuti seseorang yang berwenang memasuki
pintu yang aman, menerobos pengendalian keamanan fisik seperti keypad, kartu
identitas, atau pemindai identifikasi biometric.
Pemecahan kata sandi (password cracking) adalah memasuki pertahanan
sebuah sistem, mencuri file yang memuat kata sandi valid, mendeskripsinya, dan
menggunakannya untuk mendapatkan akses atau program, file, dan data.
War dialing adalah memogram sebuah komputer untuk menghubungi ribuan
sambungan telepon guna mencari dial-up modem lines. Hacker menerobos ke dalam
PC yang tersambung dengan modem dan mengakses jaringan yang terhubung. War
driving adalah berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak
terlindungi. War rocketing adalah menggunakan roket untuk melepaskan titik akses
nirkabel yang terhubung pada parasut yang mendeteksi jaringan nirkabel tidak aman.
Phreaking adalah menyerang sistem telepon untuk mendapatkan akses
sambungan telepon gratis, menggunakan sambungan telepon untuk mengirimkan
malware, mengakses, mencuri serta menghancurkan data. Data diddling adalah
mengubah data sebelum atau selama entri ke dalam sistem komputer untuk menghapus,
mengubah, menambah, atau memperbarui data sistem kunci yang salah. Kebocoran
data (data leakage) adalah penyalinan data perubahan tanpa izin.
Podslurping adalah penggunaan sebuah perangkat kecil dengan kapasitas
penyimpanan, seperti iPod atau Flash drive, untuk mengunduh data tanpa izin. Teknik
salami (salami technique) adalah pencurian sebagian kecil uang dari beberapa
rekening yang berbeda. Spionase ekonomi (economic espionage) adalah pencurian
informasi, rahasia, dagang, dan kekayaan intelektual. Pemerasan dunia maya (cyber
 extortion) adalah pengancaman untuk membahayakan sebuah perusahaan atau
seseorang apabila sejumlah uang tertentu tidak dibayarkan.
Cyber bullying, yaitu menggunakan internet, telepon seluler, atau teknologi
komunikasi lainnya untuk mendukung perilaku yang disengaja, berulang, dan
bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau
membahaykan orang lain. Sexting adalah tukar-menukar pesan teks dan gambar yang
terang-terangan bersifat seksual dengan orang lain, biasanya menggunakan perantara
telepon. Terorisme Internet (internet terrorism), yaitu menggunakan internet untuk
mengganggu perdagangan elektronik (e-commerce) dan komunikasi serta
membahayakan komputer. Misinformasi Internet (internet misinformation), yaitu
menggunakan internet untuk menyebarkan informasi yang salah atau menyesatkan.
Penipuan lelang internet (internet auction fraud), yaitu menggunakan situs
lelang internet untuk menipu orang lain. Penipuan pump-and-dump Internet (internet
pump-and-dump fraud), yaitu menggunakan internet untuk menaikkan harga saham dan
menjualnya. Penipuan klik (click fraud), yaitu memanipulasi jumlah klik untuk
meningkatkan tagihan periklanan. Penjejalan situs (web cramming), yaitu
menawarkan situs gratis selama sebulan, mengembangkan situs tidak berharga, dan
membebankan tagihan telepon, dari orang-orang yang menerima tawaran untuk waktu
berbulan-bulan, terlepas mereka ingin melanjutkan menggunakan situs tersebut atau
tidak. Pembajakan perangkat lunak (software privacy), yaitu menyalin atau
mendistribusikan perangkat lunak berhak cipta tanpa izin.
2. Menjelaskan bagaimana teknik-teknik rekayasa sosial digunakan untuk
memperoleh akses fisik atau logis ke sumber daya komputer
Rekayasa Sosial
Rekayasa sosial (social engineering) merujuk pada teknik atau trik psikologis
yang digunkan agar orang-orang mematuhi keinginan pekaku untuk mendapatkan akses
fisik atau logis ke sebuah bangunan, komputer, server, atau jaringan-biasanya untuk
mendapatkan informasi yang dibutuhkan untuk mengakses sebuah sistem dan
mendapatkan data rahasia.
Pencurian identitas (identify theft), yaitu mengambil identitas seseorang,
biasanya untuk keuntungan ekonomi dengan mendapatkan dan menggunakan informasi
rahasia secara illegal. Pretexting, yaitu menggunakan scenario ciptaan (dalih) yang
menciptakan legitimasi (pernyataan sah) dalam pikiran target guna meningkatkan
kecenderungan bahwa si korban akan membocorkan informasi atau melakukan sesuatu.
Posing adalah menciptakan bisnis yang terlihat sah (biasanya menjual produk baru dan
menarik), mengumpulkan informasi pribadi sambal melakukan penjualan, tetapi tidak
pernah mengirimkan barangnya. Phishing adalah mengirimkan sebuah pesan
elektronik dan berpura-pura sebagai sebuah perusahaan yang sah, biasanya institusi
keuangan, dan meminta informasi atau verifikasi informasi serta sering memberi
peringatan mengenai konsekuensi negative bila permintaan tersebut tidak terpenuhi.
Permintaanya palsu dan informasi yang dikumpulkan digunakan untuk melakukan
pencurian identitas atau untuk mencuri dana dari rekening korban.
Phishing suara atau vishing, seperti halnya phishing, hanya saja korban
memasukkan data rahasia melalui telepon, Carding merupakan kegiatan yang
dilakukan pada kartu kredit curian, termasuk melakukan pembelian kecil secara online
untuk memastikan apakah kartu masih valid serta membeli dan menjual nomor kartu
kredit curian. Pharming adalah mengarahkan lalu lintas situs ke situs palsu.
Evil twin, adalah sebuah jaringan nirkabel dengan nama yang sama (disebut
dengan Server Set Identifier atau SSID) seolah menjadi sebuah titik akses nirkabel yang
sah. Pengguna tersambung dengannya karena ia memiliki sinyal nirkabel yang lebih
kuat atau evil twin menganggu atau menonaktifkan titik akses yang sah. Para pengguna
tidak menyadari bahwa mereka tersambung ke evil twin dan si pelaku mengawasi lalu
lintas untuk mencari informasi rahasia.
Typosquating atau pembajakan URL (URL hijacking), yaitu menyiapkan
situs web dengan sama sehingga pengguna membuat kekeliruan typographis ketika
memasukkan nama situs web yang akan dikirim ke situs yang tidak valid. Kode QR
(Quick Response-respon cepat) adalah barcode matriks dua dimensi yang ketika
dipindai dengan smartphone, menghubungkan pengguna ke sebuah situs. Pengganti
kode batang QR (QR barcode replacements), yaitu pelaku penipuan menyamarkan
kode quick response valid dengan stiker yang mengandung kode QR pengganti untuk
mengecoh orang-orang ke dalam situs yang tidak diinginkan yang menginfeksi
teleponnya dengan malware.
Tabnapping, yaitu secara diam-diam mengubah tab dari browser yang dibuka
untuk mendapatkan ID dan kata sandi pengguna ketika korban masuk kembali ke dalam
situs. Scavenging, atau dumpster diving adalah sejumlah dokumen dan catatan untuk
mendapatkan akses ke informasi rahasia. Metodenya meliputi pencarian kaleng
sampah, kotak sampah komunal, dan tempat pembuangan sampah kota. Bahu
berselancar (shoulder surfing), yaitu ketika pelaku mengintip melalui bahu seseorang
di tempat umum untuk mendapatkan informasi seperti nomor PIN ATM atau ID
pengguna dan kata sandi. Loop Lebanon (Lebanese looping) yaitu menyisipkan lengan
baju ke dalam ATM yang mencegah ATM mengeluarkan kartu. Pelaku berpura-pura
menawarkan bantuan, mengecoh korban dengan memasukkan PIN lagi. Sekalinya
korban menyerah, pencuri mengambil kartu dan menggunakan kartu serta PIN untuk
melakukan penarikan.
Skimming adalah penggesekan ganda kartu kredit pada terminal yang sah atau
menggesekkan kartu secara diam-diam pada pembaca kartu yang kecil dan tersembunyi
untuk merekam data kartu kredit untuk penggunaan berikutnya. Chipping adalah
berpura-pura sebagai seorang jasa ahli dan menanamkan chip kecil untuk merekam
data transaksi pada sebuah pembaca kartu yang sah. Menguping (eavesdropping)
adalah mendengarkan komunikasi pribadi atau menyadap ke dalam transmisi data.
3. Menjelaskan jenis-jenis yang berbeda dari malware yang digunakan untuk
merusak komputer
Malware
Malware yaitu segala perangkat lunak yang digunakan untuk membahayakan.
Malware bersifat konstan dan berkelanjutan, serta mahal. Spyware adalah perangkat
lunak yang secara diam-diam mengawasi dan mengumpulkan informasi pribadi
mengenai pengguna dan mengirimkannya kepada orang lain, biasanya tanpa izin
pengguna komputer. Adware merupakan spyware yang menyebabkan iklan banner
pada monitor, mengumpulkan informasi mengenai penjelajahan situs dan kebiasaan
pengguna, dan mengirimkannya kepada pencipta adware, biasanya sebuah organisasi
periklanan atau media. Adware biasanya terkait dengan freeware dan shareware yang
diunduh dari internet. Perangkat lunak torpedo (torpedo software) merupakan
perangkat lunak yang menghancurkan malware saingan. Terkadang mengakibatkan
“peperangan malware” di antara pengembang yang bersaing. Scareware adalah
perangkat lunak yang biasanya berbahaya, dengan sedikit atau tanpa manfaat, dan dijual
menggunakan taktik menakutkan. Oleh karenanya, perangkat lunak tersebut
menggunakan rasa takut untuk memotivasi beberapa jenis tindakan pengguna.
Ransomware adalah perangkat lunak yang mengenkripsi program dan data
sampai sebuah tebusan dibayarkan untuk menghilangkannya. Perangkat lunak
keylogger adalah perangkat lunak yang merekam aktivitas komputer, seperti keystroke
pengguna, e-mail dikirim dan diterima, situs web yang dikunjungi, dan partisipasi pada
sesi obrolan. Trojan horse adalah satu set instruksi komputer yang tidak diotorisasi
dalam sebuah program yang sah dan berfungsi dengan semestinya. Bom waktu (time
bombs) dan bom logika (logic bombs) adalah Trojan horse yang tidak aktif sampai
dipicu oleh tanggal atau waktu tertentu, oleh perubahan dalam sistem, pesan yang
dikirim ke sistem, atau sebuah keadaan yang tidak terjadi.
Pintu jebakan (trap door), atau pintu belakang (back door) adalah sebuah set
instruksi komputer yang memungkinkan pengguna untuk memotong kendali normal
sistem. Packet sniffer adalah program yang menangkap data dari paket-paket informasi
saat mereka melintasi jaringan internet atau perusahaan. Data tangkapan disaring untuk
menemukan informasi rahasia atau hak milik. Program steganografi (steganography
program) adalah sebuah program yang dapat menggabungkan informasi rahasia
dengan sebuah file yang terlihat tidak berbahaya, kata sandi melindungi file,
mengirimnya kemana pun di dunia, dimana file dibuka dan informasi rahasia disusun
 ulang. Host file masih dapat didengar atau dilihat karena indra penglihatan dan
pendengaran manusia tidak cukup sensitive untuk mendapati sedikit penurunan kualitas
gambar atau suara.
Rootkit adalah sebuah cara penyamaran komponen sistem dan malware dari
sistem pengoperasian dan program lain, dapat juga memodifikasi sistem pengoperasian.
Superzapping adalah penggunaan tanpa izin atas program sistem khusus untuk
memotong pengendalian sistem regular dan melakukan tindakan illegal, semuanya
tanpa meninggalkan jejak audit.
STUDI KASUS
Berdasarkan informasi dari kompas.tv-Polisi Selidiki Peretasan Channel YouTube
BNPB dijelaskan bahwa serangan cybercrime tidak terbatas pada website saja. Akun di
platform berbagi video seperti YouTube juga sempat menjadi sasaran serangan cybercrime.
Akun YouTube resmi milik Badan Nasional Penanggulangan Bencana (BNPB) sempat
menjadi korban serangan cybercrime pada bulan Desember 2021.Channel YouTube dengan
nama ‘BNPB Indonesia’ berubah nama menjadi ‘Ethereum 2.0’. Para peretasnya juga
mengadakan siaran langsung di akun YouTube yang sama dengan judul ‘Ethereum CEO:
Ethereum Breakout! Ethereum News, ETH 2.0 RELEASE Date’. Mereka juga menyerang akun
YouTube milik Jerome Polin dengan mengganti nama channel menjadi ‘Ethereum’ dan
melakukan siaran langsung dengan topik yang sama pula.

Bab 7

Pengendalian dan Sistem Informasi Akuntansi

1. Menjelaskan konsep pengendalian dasar serta menjelaskan mengapa
pengendalian dan keamanan komputer itu penting
Ikhtisar Konsep Pengendalian
Pengendalian internal (internal control) adalah proses yang dijalankan untuk
menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian dipenuhi. Tujuan
dari pengendalian internal yaitu untuk mengamankan aset, mengelola catatan
sehingga dapat digunakan untuk melaporkan aset perusahaan secara akurat dan wajar,
memberikan informasi yang akurat dan reliabel, menyiapkan laporan keuangan
yang sesuai dengan kriteria yang ditetapkan, mendorong dan memperbaiki efisiensi
operasional, mendorong ketaatan terhadap kebijakan manajerial yang telah
ditentukan, serta untuk mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut.
a. Pengendalian preventif (preventive control), mencegah masalah sebelum timbul.
Contohnya, merekrut personil berkualifikasi, memisahkan tugas pegawai, dan
mengendalikan akses fisik atas aset dan informasi.
b. Pengendalian detektif (detective control), menemukan masalah yang tidak
terelakkan. Contohnya, menduplikasi pengecekan kalkulasi dan menyiapkan
rekonsiliasi bank serta neraca saldo bulanan.
c. Pengendalian korektif (corrective control), mengidentifikasi dan memperbaiki
masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan.
 Contohnya, menjaga salinan backup pada file, perbaikan kesalahan entri data, dan
pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.
Pengendalian internal dibagi ke dalam dua kategori sebagai berikut:
a. Pengendalian umum (general control), memastikan lingkungan pengendalian
sebuah organisasi stabil dan dikelola dengan baik. Contohnya, keamanan;
infrastruktur TI; dan pengendalian perangkat lunak, pengembangan dan
pemeliharaan.
b. Pengendalian aplikasi (application control), mencegah, mendeteksi, dan
mengoreksi kesalahan transaksi serta penipuan di dalan program aplikasi.
Pengendalian ini focus terhadap ketepatan, kelengkapan, validitas, serta otorisasi
data yang didapat, dimasukkan, diproses, disimpan, ditransmiisikan ke sistem lain,
dan dilaporkan.
2. Membandingkan dan membedakan kerangka pengendalian COBIT, COSO, dan
ERM
Kerangka Pengendalian
Tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian
internal yaitu:
Kerangka COBIT
Information System Audit and Control Association (ISACA) mengembangkan
kerangka Control Objective for Information and Related Technology (COBIT).
Control Objective for Information and Related Technology (COBIT) adalah sebuah
kerangka keamanan dan pengendalian yang memungkinkan (1) manajemen untuk
membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI; (2)
para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang
memadai; dan (3) para auditor memperkuat opini pengendalian internal dan
mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan. Lima
prinsip utama kerangka COBIT 5 yaitu:
a. Memenuhi keperluan pemangku kepentingan. Kerangka COBIT 5 membantu
para pengguna mengatur proses dan prosedur bisnis untuk menciptakan sebuah
sistem informasi yang menambah nilai untuk pemangku kepentingan.
b. Mencakup perusahaan dari ujung ke ujung. Kerangka COBIT 5 tidak hanya
berfokus pada operasi TI, ia juga mengintegrasikan semua fungsi dan proses TI ke
dalam fungsi serta proses keseluruhan perusahaan.
c. Mengajukan sebuah kerangka terintegrasi dan tunggal. Kerangka COBIT 5
dapat disejajarkan pada tingkatan yang tinggi dengan standar dan kerangka lainnya,
sehingga sebuah kerangka yang menyeluruh bagi tata kelola TI dan manajemen
diciptakan.
d. Memungkinkan pendekatan publik. Kerangka COBIT 5 memberikan sebuah
pendekatan holistic yang menghasilkan tata kelola dan manajemen yang efektif dari
semua fungsi TI di perusahaan.
e. Memisahkan tata kelola dari manajemen. Kerangka COBIT 5 membedakan
antara tata kelola dan manajemen.
COBIT 5 adalah sebuah kerangka komprehensif yang membangtu perusahaan
mencapai tujuan tata kelola dan manajemen TI mereka.
Kerangka Pengendalian Internal COSO
 Commite of Sponsoring Organization (COSO) sebuah kelompok sektor
swasta yang terdiri dari Asosiasi Akuntansi Amerika (American Accounting
Association), AICPA, Ikatan Auditor Internal (Institute of Internal), Ikatan Akuntan
Manajemen (Institute of Management Accountants), dan Ikatan Eksekutif Keuangan
(Financial Executives Institute).
Kerangka Manajemen Risiko Perusahaan COSO
Untuk memperbaiki proses manajemen risiko, COSO mengembangkan
kerangka pengendalian kedua yang disebut Manajemen Risiko Perusahaan
(Enterprise Risk Management)-Kerangka Terintegrasi (Integrated Framework)-
ERM. Kerangka ERM adalah proses yang digunakan oleh dewan direksi dan
manajemen untuk mengatur strategi, mengidentifikasi kejadian yang mungkin
memengaruhi entitas, menilai dan mengelola risiko, serta menyediakan jaminan
memadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar
di balik ERM adalah sebagai berikut.
a. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
b. Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima
saat menciptakan nilai.
c. Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu
secara negative memengaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
d. Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa
sesuatu secara positif memengaruhi kemampuan perusahaan untuk menghasilkan
atau mempertahankan nilai.
e. Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan
mempertahankan nilai.
Kerangka Manajemen Risiko Perusahaan Versus Kerangka Pengendalian
Internal
Kerangka IC telah diadopsi secara luas sebagai cara untuk mengevaluasi
pengendalian internal. Kerangka ERM yang lebih komprehensif menggunakan
pendekatan berbasis risiko daripada berbasis pengendalian. ERM menambahkan tiga
elemen tambahan ke kerangkan IC COSO: penetapan tujuan, pengidentifikasian
kejaidan yang mungkin memengaruhi perusahaan, dan pengembangan sebuah respons
untuk risiko yang dinilai. Hasilnya pengendalian bersifat fleksibel dan relevan
karena mereka ditautkan dengan tujuan organisasi terkini. Model ERM mengakui
bahwa risiko, selain dikendalikan, dapat pula diterima, dihindari, dibuat berjenis-jenis,
dibagi, atau ditransfer.
3. Menjelaskan elemen-elemen utama di dalam lingkungan internal sebuah
perusahaan
Lingkungan Internal
Lingkungan internal (internal environment), atau budaya perusahaan, memengaruhi
cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis;
dan mengidentifikasi, menilai, serta merespon risiko. Sebuah lingkungan internal
mencakup hal-hal sebagai berikut:
a. Filosofi manajemen, gaya pengoperasian, dan selera risiko. Secara keseluruhan
sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan sikap yang dianut
bersama, tentang risiko yang memengaruhi kebijakan, prosedur, kominikasi lisan
 dan tulisan, serta keputusan. Perusahaan juga memiliki selera risiko (risk appetite),
yaitu jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk mencapai
tujuan dan sasarannya. Semakin bertanggung jawab filosofi dan gaya
pengoperasian manajemen, serta makin jelas mereka berkomunikasi, maka semakin
besar kemungkinan para pegawai akan bertindak dengan tanggung jawab.
b. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi. Organisasi
membutuhkan sebuah budaya yang menekankan integritas dan komitmen pada
nilai-nilai etis serta kompetensi.
c. Pengawasan pengendalian internal oleh dewan direksi. Dewan direksi yang
terlibat mewakili pemangku kepentingan dan memberika tinjauan independent
manajemen yang bertindak seperti sebuah pengecekan dan penyeimbangan atas
tindakan tersebut.
d. Struktur organisasi. Sebuah struktur organisasi perusahaan memberikan sebuah
kerangka untuk operasi perencanaan, pelaksanaan, pengendalian, dan pengawasan.
e. Metode penetapan wewenang dan tanggung jawab. Manajemen harus
memastikan para pegawai memahami sasaran dan tujuan entitas, menetapkan
wewenang, tanggung jawab untuk sasaran dan tujuan baik untuk departemen
maupun individu.
f. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten. Salah satu dari kekuatan
pengendalian terbesar adalah kejujuran pegawai; salah satu dari kelemahan
pengendalian terbesar adalah ketidakjujuran pegawai. Adapun kebijakan dan
prosedur SDM antara lain perekrutan; kompensasi, mengevaluasi, dan
mempromosikan; pelatihan; pengelolaan para pegawai yang tidak puas;
pemberhentian; liburan dan rotasi tugas; perjanjian kerahasiaan dan asuransi ikatan
kesetiaan; menuntut dan memenjarakan pelaku.
g. Pengaruh eksternal. Pengaruh eksternal meliputi persyaratan-persyaratan yang
diajukan oleh bursa efek, Financial Accounting Standards Board (FASB), PCAOB,
dan SEC.
4. Menjelaskan empat jenis tujuan pengendalian yang perlu dibuat oleh perusahaan
Penetapan Tujuan
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menetukan
hal yang ingin dicapai oleh perusahaan, atau yang biasa disebut visi atau misi
perusahaan. Adapun empat jenis tujuan pengendalian yang perlu dibuat oleh
perusahaan adalah sebagai berikut:
a. Tujuan strategis (strategic objective), tujuan tingkat tinggi yang disejajarkan dan
mendukung misis perusahaan serta menciptakan nilai pemegang saham.
b. Tujuan operasi (operation objective), tujuan yang berhubungan dengan efektivitas
dan efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber
daya.
c. Tujuan pelaporan (reporting objective), tujuan yang membantu memastikan
ketelitian, kelengkapan, dan keterandalan laporan perusahaan; meningkatkan
pembuatan keputusan; dan mengawasi aktivitas serta kinerja perusahaan.
d. Tujuan kepatuhan (compliance objective), tujuan yang membantu perusahaan
mematuhi seluruh hukum dan peraturan yang berlaku.
5. Menjelaskan kejadian-kejadian yang memengaruhi ketidakpastian dan teknik-
teknik yang digunakan untuk mengidentifikasinya
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian
(event) sebagai “sebuah insiden atau peristiwa yang berasal dari sumber-sumber
internal atau eksternal yang memengaruhi implementasi strategi atau pencapaian
tujuan. Kejadian mungkin memiliki dampak positif atau negatif atau keduanya”.
Beberapa kejadian yang dapat dialami oleh sebuah perusahaan adalah memilih
teknologi yang tidak sesuai, akses yang tidak sah, kehilangan integritas data, transaksi
yang tidak lengkap, kegagalan sistem, dan sistem yang tidak kompitabel.
Adapun teknik-teknik yang dapat dilakukan perusahaan untuk
mengidentifikasi kejadian yaitu penggunaan sebuah daftar komprehensif dari kejadian
potensial, pelaksanaan sebuah analisis internal, pengawasan kejadian-kejadian yang
menjadi penyebab dan titik-titik pemicu, pengadaan seminar dan wawancara,
pengguaan data mining, dan penganalisisan proses-proses bisnis.
6. Menjelaskan cara menilai dan merespons risiko menggunakan model Enterprise
Risk Management (ERM)
Penilaian Risiko dan Respons Risiko
Selama penetapan tujuan, manajemen harus merinci tujuan tujuan mereka
dengan cukuo jelas agar risiko dapat diidentifikasi dan dinilai. Empat cara yang dapat
dilakukan manajemen dalam merespon risiko antara lain:
a. Mengurangi. Mengurangi kemungkinan dan dampak risiko dengan
mengimplementasikan sistem pengendalian internal yang efektif.
b. Menerima. Menerima kemungkinan dan dampak risiko.
c. Membagikan. Membagikan risiko atau menstrafernya kepada orang lain dengan
asuransi pembelian, mengalihdayakan sebuah aktivitas, atau masuk ke dalam
transaksi lindung nilai (hedging).
d. Menghindari. Menghindari risiko dengan tidak melakukan aktivitas yang
menciptakan risiko.
7. Menjelaskan aktivitas-aktivitas pengendalian yang umumnya digunakan di
perusahaan
Aktivitas pengedalian
Aktivitas pengendalian (control activities) adalah kebijakan, prosedur, dan
aturan yang meberikan jaminan memadai bahwa tujuan pengendalian telah dicapai
dan respons risiko dilakukan. Manajemen harus memastikan bahwa:
a. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko
hingga level yang dapat diterima;
b. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi;
c. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan
kebijakan dan prosedur perusahaan yang telah ditentukan.
Prosedur pengendalian dilakukan dakan kategori-kategori berikut:
a. Otorisai transaksi dan aktivitas yang layak.
b. Pemisahan tugas.
c. Pembangunan proyek dan pengendalian akuisisi (perolehan).
d. Mengubah pengendalian manajemen.
e. Mendesain dan menggunakan dokumen serta catatan.
f. Pengamanan aset, catatn, dan data.
 g. Pengecekan kinerja yang independent.
8. Menjelaskan cara mengomunikasikan informasi dan mengawasi proses
pengendalian pada organisasi
Informasi dan Komunikasi
Sistem informasi dan komunikasi haruslah memperoleh dan mepertukarkan
informasi yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasu
perusahaan. Tujuan dari sistem informasi akuntansi (SIA-accounting information
system) adalah untuk mengumpulkan, mencatat, memproses, menyimpan, meringkas,
dan mengomunikasikan informasi mengenai sebuah organisasi.
Kerangka IC yang diperbarui merinci bahwa tiga prinsip berikut berlaku di
dalam proses informasi dan komunikasi.
a. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi
untuk mendukung pengendalian internal.
b. Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab
yang diperlukan untuk mendukung komponen-komponen lain dari pengendalian
eksternal.
c. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak
eksternal.
Pengawasan
Sistem pengedalian internal yang dipilih atau dikembangkan harus diawasi
secara berkelanjutan, dieva;uasi, dan dimodifikasi sesuai kebutuhan. Adapun metode-
metode utama pengawasan kinerja antara lain:
a. Menjalankan evaluasi pengendalian internal;
b. Implementasi pengawasan yang efektif;
c. Menggunakan sistem akuntansi pertanggungjawaban;
d. Mengawasi aktivitas sistem;
e. Melacak perangkat lunak dan perangkat bergerak yang dibeli;
f. Menjalankan audit berkala;
g. Memperkerjakan petugas keamanan komputer dan Chief Compliance Officer;
h. Menyewa spesialis forensik
i. Memasang perangkat lunak deteksi penipuan; dan
j. Mengimplementasikan hotline penipuan.
STUDI KASUS
Berdasarkan informasi dari depokpos.com-Sistem Pengendalian Manajemen pada
PT KAI Commuterline Jabodetabek menjelaskan bahwa peranan umum teknologi informasi
bagi sektor transportasi public antara lain Meningkatkan efisiensi system transportasi,
meningkatkan keselamatan, meningkatkan mobilitas dan aksestabilitas, dan meningkatkan
koneksi antar moda transportasi. struktur sistem pengendalian manajemen yang termasuk
dalam PT. KAI menunjukkan batas-batas tanggung jawab yang jelas, pendelegasian wewenang
dan uraian tugas, serta hubungan antar bagian dalam suatu organisasi. Bagan Organisasi adalah
salah satu dari persyaratan Akuntansi Tanggung Jawab.
Hal ini memberikan informasi tentang kewajiban dan tanggung jawab posisi yang
dipegang oleh individu dalam organisasi, hubungan mereka dengan anggota organisasi lainnya,
serta pelaporan yang ditaatinya. Dari struktur organisasi, kita dapat melihat bahwa perusahaan
dengan jelas mendefinisikan bahwa tugas dan tanggung jawab mereka telah sesuai.
 Perencanaan strategis merupakan langkah awal dalam melaksanakan suatu kegiatan.
Fase ini menentukan tujuan, jenis implementasi, personel dan persyaratan keuangan, waktu
implementasi, dan kondisi serta peraturan yang harus dipatuhi.
PT. KAI melaksanakan rencana, strategi sesuai dengan visi dan misi perusahaan. Ini
termasuk target pendapatan dan efisiensi biaya, keselamatan, layanan, keselamatan dan
ketepatan waktu, persiapan kereta api, infrastruktur kehandalan, implementasi berkelanjutan
dari proses peningkatan kualitas (quality improvement), tanggung jawab sosial perusahaan
(CSR), implementasi program, menjaga warisan budaya dan kelestarian lingkungan,
mengoptimalkan sumber daya perusahaan, mengelola operasional kereta api dan keamanan dan
ketertiban, mengelola layanan pelanggan, penjualan dan layanan pelanggan, efektivitas
pelaksanaan kemitraan dengan pihak luar, transportasi KA jarak jauh dan KA komuter
mengoordinasikan semua bisnis perkeretaapian kegiatan di wilayah geografis, baik kegiatan
unit organisasi di wilayah operasional maupun kegiatan yang dilakukan oleh unit vertikal
kantor pusat, menjamin semua resiko pada proses bisnis di dalam lingkup Daerah Operasi
diidentifikasi, diukur, dievaluasi, ditangani, dikendalikan dengan baik dan dikontrol
sebagaimana mestinya.